Forum inaccessibile

Salve,sono un moderatore del forum(li' mi chiamo nfscarbon4 :P) http://saintseiyags.altervista.org/index.php .E' da circa una mezz'ora che il sito risulta inaccessibile restituendomi una serie di errori (qui in basso) .Da cosa può dipendere ciò?Grazie anticipatamente.

Notice: Undefined variable: sourcedir in /membri/saintseiyags/index.php on line 54

Warning: main() [function.main]: open_basedir restriction in effect. File(/QueryString.php) is not within the allowed path(s): (/membri) in /membri/saintseiyags/index.php on line 54

Warning: main(/QueryString.php) [function.main]: failed to open stream: Operation not permitted in /membri/saintseiyags/index.php on line 54

Fatal error: main() [function.require]: Failed opening required '/QueryString.php' (include_path='.:') in /membri/saintseiyags/index.php on line 54

[silvermaledetto]

la prima cosa che mi sovviene sarebbe quella di sovrascrivere con quella di un recente backup sicuramente funzionante la cartella
index.php
sembra addirittura che manchi!

[darkwolf]

Vedo che usate smf 1.1.8 ma c'è la "vecchia" shoutbox.
Assicurati sia correttamente patchata (è a rischio xss).
-
Leggi qui: http://www.smitalia.net/community/in...ic,3856.0.html

[saintseiyags]

Sono l'admin del sito, problema risolto, ed era nel file setting.php che qualcuno entrando fraudolentamente nel mio account di altervista me lo aveva completamente editato facendolo risultare vuoto. la "vecchia" shoutbox era patchata Darkwolf.
Vi chiedo in virtù di questo se è possibile, magari tramite richiesta apposita, avere l' indirizzo ip di chi si è loggato nella giornata di oggi sul mio account di altervista.
Grazie

[darkwolf]

Assicurati non ci siano file e/o directory strane e cambia la password del tuo account.
Se usi un servizio di statistiche controlla eventuali richieste a url interni anomali.
-
PS: se qualcuno entra non si mette a svuotare il setting.php, fa ben altro
-
PS: pur essendo stato modificato, sarebbe cortese mantenere un riferimento del template (overview by DzinerStudio) nei crediti del forum (come ho fatto io del resto pur avendolo modificato pesantemente anche nei colori).

[saintseiyags]

Assicurati non ci siano file e/o directory strane e cambia la password del tuo account.

La pass l'ho cambiata però eccetto quel setting.php modificato in data di oggi non mi sembra di aver notato altre anomalie

Se usi un servizio di statistiche controlla eventuali richieste a url interni anomali.

Purtroppo non uso niente del genere l'unica cosa strano che ho notato andando a vedere il log degli errori del forum è stato questo, cioè un visitatore ha tentato di accedere a questo url :

Codice:

 http://saintseiyags.altervista.org/index.php?amp;action=quickmod2;topic=837.0 

Impossibile verificare l'url di provenienza. Per favore torna indietro e riprova.

PS: se qualcuno entra non si mette a svuotare il setting.php, fa ben altro

Speriamo non fa altri danni oltre che cambiare pass non so che contromisure prendere onestamente

PS: pur essendo stato modificato, sarebbe cortese mantenere un riferimento del template (overview by DzinerStudio) nei crediti del forum (come ho fatto io del resto pur avendolo modificato pesantemente anche nei colori).

Non avevo messo il link perchè appunto lo avevo modificato anche nelle tabelle, però non è un problema lo rimetto

Sulla storia degli ip di chi si logga al mio account potete rispondermi? Così anche per rendermi conto se si è trattato di pass rubato anche se ignoro come possano averlo fatto
Grazie a tutti^^

[darkwolf]

La pass l'ho cambiata però eccetto quel setting.php modificato in data di oggi non mi sembra di aver notato altre anomalie


Purtroppo non uso niente del genere l'unica cosa strano che ho notato andando a vedere il log degli errori del forum è stato questo, cioè un visitatore ha tentato di accedere a questo url :

Codice:

 http://saintseiyags.altervista.org/index.php?amp;action=quickmod2;topic=837.0 

Impossibile verificare l'url di provenienza. Per favore torna indietro e riprova.

Mi ricorda un vecchio exploit: http://www.simplemachines.org/commun...topic=220443.0
-
Sarebbe bene avere un qualcosa che tenga traccia delle mosse degli utenti (io uso php-stats)

Speriamo non fa altri danni oltre che cambiare pass non so che contromisure prendere onestamente

Assicurati che il tuo pc non sia infetto (ad-aware; spyware; virus)
Cambiare password di altervista e password del forum.
Controllare eventuali file anomali (potenziali shell).

Non avevo messo il link perchè appunto lo avevo modificato anche nelle tabelle, però non è un problema lo rimetto

Più che altro è una forma di rispetto verso l'autore

[silvermaledetto]

Scusate se intervengo: non conosco quel tipo di forum ma se sono intervenuti sull'account altervista accedendo al database il forum ha ben poche colpe.
Poi mi sembra strano che per tener traccia delle mosse degli utenti bisogna implementare delle MOD o altro!

Ma la Board non registra tutti gli accessi con IP relativi?
O io col phpbb3 sono abituato male?

Per la password : meglio crearla articolata e molto lunga per i bruteforce attack
ma poi ci sono metodi molto gentili di procurarsele contro i quali a volte c'è davvero poco da fare.
Aggiornare sempre alle ultime versioni ogni software.... e tanta difesa passiva.

[darkwolf]

Scusate se intervengo: non conosco quel tipo di forum ma se sono intervenuti sull'account altervista accedendo al database il forum ha ben poche colpe.
Poi mi sembra strano che per tener traccia delle mosse degli utenti bisogna implementare delle MOD o altro!

Ti consiglierei di provarlo
Conosco poco phpbb ma fra i due non ho dubbi (sopratutto per la gestione delle MOD) :)
Si anche smf ha una gestione di tracciamento degli utenti e simili ma, con phpstats si ha una visuale migliore a mio parere

[saintseiyags]

La mia richiesta di indirizzo ip si riferiva alla registrazione dell'ip quando accediamo al nostro account di altervista non quello sul nostro forum ;) smf certo che memorizza gli ip ma oltre quel fatto che ho segnalato poco fa altre anomalie sul forum non le ho riscontrate.
Volevo chiedere a Darkwolf come sia possibile un attacco exploit vecchio se ho comunque una versione smf aggiornata? Inoltre cosa mi consigli di reinstallare il forum da capo?
Grazie ancora.

[darkwolf]

La mia richiesta di indirizzo ip si riferiva alla registrazione dell'ip quando accediamo al nostro account di altervista non quello sul nostro forum ;) smf certo che memorizza gli ip ma oltre quel fatto che ho segnalato poco fa altre anomalie sul forum non le ho riscontrate.
Volevo chiedere a Darkwolf come sia possibile un attacco exploit vecchio se ho comunque una versione smf aggiornata? Inoltre cosa mi consigli di reinstallare il forum da capo?
Grazie ancora.

Io ricevo attacchi per vecchie versioni di phpbb, ipb, drupal e simili (lo vedo grazie a apache error handler mod), semplicemente ci provano ma non hanno successo (cosa probabilmente avvenuta anche nel tuo forum.)
SMF 1.1.8 non ha bug noti.

[silvermaledetto]

ma non c'è bisogno di exploit se si accede alla root!
E neppure di debolezze della Board.
Comunque per SMF :no grazie!

Il fatto che abbiano solo danneggiato il file setting.php
non è poi così inusuale: ho visto dozzine di phpbb2 in cui cambiavano solo l'index.php
Sono piccole dimostrazioni di forza senza voler arrecare danni particolari.
A volte attaccano interi server

[saintseiyags]

ma non c'è bisogno di exploit se si accede alla root!

Ma come è stato possibile che hanno scoperto la mia pass di altervista? A quanto dici non sono il primo caso. Ma a chi posso richiedere l'indirizzo ip per scoprire chi si è loggato con il mio account di altervista?
Vi ringrazio.

[Gianluca]

Il fatto che quel file fosse vuoto farebbe pensare ad una corruzione del medesimo per qualche motivo, piuttosto che la manomissione di qualcuno.

Pare esistano precedenti e anche un tool per ripristinarlo: http://www.simplemachines.org/commun...topic=206442.0